【レポート】セキュリティリサーチャーズ脆弱性ナイト(世界のどこかはきっと夜)

こんにちは、臼田です。

こちらは連日の「深刻な脆弱性」 どう向き合い、どう対応するかというセミナーの「セキュリティリサーチャーズ脆弱性ナイト(世界のどこかはきっと夜)」についてのレポートです。

講演者

パネリスト:

株式会社インターネットイニシアティブ

根岸 征史 氏

ソフトバンク・テクノロジー株式会社

辻 伸弘 氏

piyokango 氏

レポート

話題のピークと事態とのリンク

  • 話題になっていることと実際に起きていることがリンクしていない事がある
  • WannaCryを取り上げてみる
  • WannaCryは教訓がいっぱいある(根岸氏)
  • 3月に修正パッチが配布されてから5月の感染拡大まで2ヶ月も猶予があることが重要
    • 対策をきちんとやっているところは未然に防げている
  • 2月には大型のアップデートが来ると言われていたので、そういう点でもきちんと対策しておく必要がある兆候であった
  • まずMicrosoftの緊急で出ているパッチは当てるべき
  • 世間で騒がれたタイミングは遅かった
  • JPCERTなどは喚起していた
  • Microsoftが例外的にサポート対象外のOSに対してもパッチを出していた
  • 事前にいくつも対策するべきトリガーがあった
  • かつ、亜種により騒がれた後にも大規模な感染の報道が続いた
  • 5月末から広がっていた亜種では感染はするけど暗号化を行わない
  • 感染したことに気づきにくいためか、持ち込みPCなどを経由してインターネットに直接つながっていないローカルなネットワークに感染している可能性がある
  • 事件が終わっても、対策していなければいつやられるかわからない
  • 持ち込みPCへの対策も大切
  • 他社のインシデントから学ぶことは多い
  • ニュースでやっていると他人事だと思うこともある(piyokango氏)
  • 起きていることに対する当事者意識を持つことが大切
  • 情報セキュリティは情報管理の上に成り立つ(辻氏)
  • 何を利用しているのか管理していないと、脆弱性管理などもできない
  • 管理できていないと、次のステップに進めないので、まずはしっかり管理

脆弱性対応のための脆弱性評価

  • 自分たちの組織に必要な対策なのかをどうやって評価するのか
  • ベンダーが緊急度が高いと言っていても、自社組織に対しても影響が高いかはわからない
  • CVSSを気にしていますか?
  • 簡単に見方を紹介
    • 3つの評価基準がある
    • 基本評価基準 (Base Metrics)
      • 普段見るのはこれ
      • 脆弱性そのものの特性を評価
      • 実際に影響があるかどうかの評価ではない
    • 現状評価基準 (Temporal Metrics)
      • 注目するのはこれ
      • 脆弱性の深刻度を評価、攻撃コード、対策方法の有無を加味
      • 攻撃される可能性 (Exploitability)
        • 実際に攻撃する手法があるかなどを見ている
        • これがその時に危険かどうかを判断できる
      • 利用可能な対策のレベル (Remediation Lebel)
      • 脆弱性情報の信頼性 (Report Confidence)
    • 環境評価基準 (Environmental Metrics)
  • WannaCryだと、パッチ公開以降段々とExploitabilityが上がっていった
  • 効率のいい確認の方法としてRSSでExploitDBCVE Detailsを見るといい
  • 手放しで適切に管理することは限界があるので、情報収集はしっかりやろう
  • 「自社の使っている製品に絞って、攻撃コードの存在するもの」のように絞ってRSSを作成することが出来るので活用する
  • 専門家がレポートを出したりしているが、それは早いとは限らない
  • ベンダーに依存して受け身にならず、脆弱性情報を調べてほしい

脆弱性情報報道の受け取り方

  • ニュースやWebメディアなどの情報だけでいいのか?
  • 先人の知恵
  • やっていることはこれからあまり変わっていない
    1. 調べたいトピックの有識者を探す
    2. その人をウォッチする
    3. その人のやり方を真似してみる
    4. 自分なりの方法を模索し、見直す
  • 最初はtwitterでCVE番号とか製品名で検索して人を見つける
  • そこからフォロワー等も確認したりする
  • 正直、ここだけ見ておけという場所はない
  • その状態はある意味健全
  • ただ、銀の弾丸はないのでみんなで考える必要がある
  • 専門家がここまでする、メーカーがここまでする、という境界線を設けないほうがいいのではないか
  • お互いに考えていく必要がある

感想

脆弱性に対してどのように考えていくか、よく考えさせられる内容でした。

常に当事者意識を持って取り組むことも必要ですし、そのための情報収集や対策は常に課題ですね。

先人の知恵も参考に、取り組んでいきたいですね。